{"id":21444,"date":"2024-03-01T09:51:00","date_gmt":"2024-03-01T08:51:00","guid":{"rendered":"http:\/\/blog.wenzlaff.de\/?p=21444"},"modified":"2024-03-01T09:52:02","modified_gmt":"2024-03-01T08:52:02","slug":"10-gruende-warum-nutzer-eine-bill-of-materials-sbom-brauchen","status":"publish","type":"post","link":"http:\/\/blog.wenzlaff.de\/?p=21444","title":{"rendered":"10 Gr\u00fcnde warum Nutzer eine Bill of Materials (SBOM) brauchen"},"content":{"rendered":"

Seit ein paar Wochen gibt es die neue Version 2.7.11<\/a> von CycloneDX. Wenn das nicht nicht ein Grund ist, einen neue SBOM zu erzeugen. Eine Software Bill of Materials (SBOM) ist eine Liste der Bestandteile und Komponenten einer Softwareanwendung sowie ihrer Beziehungen zueinander. Hier<\/a> hatte ich ja schon mal beschrieben wie man mit Maven und dem CycloneDX<\/a> Plugin eine erzeugt. Hier sind die 10 wichtigsten Gr\u00fcnde, warum Benutzer eine SBOM ben\u00f6tigen:<\/p>\n

\"\"<\/p>\n

<\/p>\n

Sicherheitsmanagement<\/strong>: Eine SBOM erm\u00f6glicht es Organisationen, potenzielle Sicherheitsl\u00fccken und Schwachstellen in den Komponenten ihrer Software zu identifizieren und zu verwalten. Dadurch k\u00f6nnen Sicherheitsrisiken besser bewertet und behoben werden.<\/p>\n

Compliance<\/strong>: In einigen Branchen und f\u00fcr bestimmte Arten von Softwareentwicklungsprojekten sind Compliance-Anforderungen zu erf\u00fcllen. Eine SBOM kann helfen, die Einhaltung dieser Vorschriften zu dokumentieren und zu gew\u00e4hrleisten.<\/p>\n

Lieferkettenmanagement<\/strong>: Unternehmen, die Software von Drittanbietern erwerben oder in ihre eigenen Produkte integrieren, ben\u00f6tigen Transparenz \u00fcber die Herkunft und den Inhalt dieser Software. Eine SBOM erleichtert das Management der Lieferkette und die Verfolgung von Komponenten.<\/p>\n

Lizenzmanagement<\/strong>: Eine SBOM hilft bei der Identifizierung und Verwaltung von Softwarelizenzen. Durch die Aufzeichnung der Lizenzinformationen f\u00fcr jede Komponente k\u00f6nnen Unternehmen sicherstellen, dass sie die Lizenzvereinbarungen einhalten und potenzielle Lizenzkonflikte vermeiden.<\/p>\n

Risikomanagement<\/strong>: Mit einer SBOM k\u00f6nnen Unternehmen potenzielle Risiken in ihrer Softwareumgebung besser verstehen und bewerten. Dies umfasst nicht nur Sicherheitsrisiken, sondern auch Risiken im Zusammenhang mit Leistung, Zuverl\u00e4ssigkeit und Kompatibilit\u00e4t.<\/p>\n

Patch-Management<\/strong>: Durch die Bereitstellung einer detaillierten Liste von Softwarekomponenten und ihren Versionen erleichtert eine SBOM das Patch-Management. Organisationen k\u00f6nnen schnell identifizieren, welche Komponenten von Sicherheitsupdates betroffen sind und entsprechende Ma\u00dfnahmen ergreifen.<\/p>\n

Transparenz und Vertrauen<\/strong>: Eine SBOM f\u00f6rdert die Transparenz und das Vertrauen zwischen Softwarelieferanten und -kunden. Durch die Offenlegung von Informationen \u00fcber die Softwarezusammensetzung k\u00f6nnen Lieferanten das Vertrauen ihrer Kunden st\u00e4rken und Kunden die M\u00f6glichkeit geben, fundierte Entscheidungen zu treffen.<\/p>\n

Haftungsmanagement<\/strong>: Eine klare Dokumentation der Softwarekomponenten und deren Herkunft kann dazu beitragen, Haftungsfragen im Falle von Sicherheitsvorf\u00e4llen oder anderen Problemen zu kl\u00e4ren.<\/p>\n

Effektives Debugging und Troubleshooting<\/strong>: Bei der Fehlerbehebung und Problemanalyse kann eine SBOM wertvolle Informationen liefern, indem sie den Entwicklern einen \u00dcberblick \u00fcber die verwendeten Komponenten und deren Abh\u00e4ngigkeiten bietet.<\/p>\n

Zuk\u00fcnftige Entwicklungsplanung<\/strong>: Eine SBOM kann bei der Planung zuk\u00fcnftiger Entwicklungsaktivit\u00e4ten helfen, indem sie Einblicke in die vorhandenen Softwarekomponenten und ihre Eigenschaften liefert. Dies kann die Entscheidungsfindung bei der Auswahl neuer Komponenten oder bei der Aktualisierung bestehender Komponenten unterst\u00fctzen.<\/p>\n

Erzeugung<\/strong>:<\/p>\n

In der pom.xml <\/strong>das Plugin eintragen und ein mvn package<\/strong>:<\/p>\n

<!-- f\u00fcr die Erzeugung von SBOMs im Target Verzeichnis -->\r\n\t\t\t<plugin>\r\n\t\t\t\t<groupId>org.cyclonedx<\/groupId>\r\n\t\t\t\t<artifactId>cyclonedx-maven-plugin<\/artifactId>\r\n\t\t\t\t<version>2.7.11<\/version>\r\n\t\t\t\t<executions>\r\n\t\t\t\t\t<execution>\r\n\t\t\t\t\t\t<phase>package<\/phase>\r\n\t\t\t\t\t\t<goals>\r\n\t\t\t\t\t\t\t<goal>makeAggregateBom<\/goal>\r\n\t\t\t\t\t\t<\/goals>\r\n\t\t\t\t\t<\/execution>\r\n\t\t\t\t<\/executions>\r\n\t\t\t\t<configuration>\r\n\t\t\t\t\t<projectType>library<\/projectType>\r\n\t\t\t\t\t<schemaVersion>1.5<\/schemaVersion>\r\n\t\t\t\t\t<includeBomSerialNumber>true<\/includeBomSerialNumber>\r\n\t\t\t\t\t<includeCompileScope>true<\/includeCompileScope>\r\n\t\t\t\t\t<includeProvidedScope>true<\/includeProvidedScope>\r\n\t\t\t\t\t<includeRuntimeScope>true<\/includeRuntimeScope>\r\n\t\t\t\t\t<includeSystemScope>true<\/includeSystemScope>\r\n\t\t\t\t\t<includeTestScope>false<\/includeTestScope>\r\n\t\t\t\t\t<includeLicenseText>false<\/includeLicenseText>\r\n\t\t\t\t\t<outputReactorProjects>true<\/outputReactorProjects>\r\n\t\t\t\t\t<outputFormat>all<\/outputFormat>\r\n\t\t\t\t\t<outputName>bom<\/outputName>\r\n\t\t\t\t<\/configuration>\r\n\t\t\t<\/plugin>\t\t\t\r\n\t\t<\/plugins><\/pre>\n
Und schon liegen die SBOMs im target Verzeichnis im XML und JSON Format. Cool!<\/p>\n","protected":false},"excerpt":{"rendered":"
Seit ein paar Wochen gibt es die neue Version 2.7.11 von CycloneDX. Wenn das nicht nicht ein Grund ist, einen neue SBOM zu erzeugen. Eine Software Bill of Materials (SBOM) ist eine Liste der Bestandteile und Komponenten einer Softwareanwendung sowie ihrer Beziehungen zueinander. Hier hatte ich ja schon mal beschrieben wie man mit Maven und … <\/p>\n
\u201e10 Gr\u00fcnde warum Nutzer eine Bill of Materials (SBOM) brauchen\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[220,3161,5,3163,79],"tags":[5276,5415,66,293,5275],"class_list":["post-21444","post","type-post","status-publish","format-standard","hentry","category-anleitung","category-build","category-java","category-maven","category-programmierung","tag-bom","tag-cyclonedx","tag-maven","tag-plugin","tag-sbom"],"_links":{"self":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts\/21444","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=21444"}],"version-history":[{"count":0,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts\/21444\/revisions"}],"wp:attachment":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=21444"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=21444"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=21444"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}